Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

Gastkommentar Rolf Schwartmann: Behördenzoff um digitalen Lockdown

Deutsche Datenschutzbehörden halten die Nutzung von Microsoft Office 365 mehrheitlich für rechtswidrig. Ein Teil der Behörden äußert Bedenken.
07.10.2020 - 13:47 Uhr Kommentieren
Klaus Schwartmann ist Professor an der Technischen Hochschule Köln und Leiter der Kölner Forschungsstelle für Medienrecht, Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit sowie Mitglied der Datenethikkommission. Quelle: TU Köln
Der Autor

Klaus Schwartmann ist Professor an der Technischen Hochschule Köln und Leiter der Kölner Forschungsstelle für Medienrecht, Vorsitzender der Gesellschaft für Datenschutz und Datensicherheit sowie Mitglied der Datenethikkommission.

(Foto: TU Köln)

Im Herbst 2020 kämpft die Welt gegen die Pandemie. Die Gesetzgeber ringen um effektive und maßvolle Lockerungen, um die wirtschaftlichen und gesellschaftlichen Kollateralschäden des Virus in den Griff zu bekommen. Unternehmen mühen sich redlich um ihr Überleben und Behörden um verhältnismäßigen Vollzug des Rechts.

Unterdessen bringen Deutschlands Datenschutzaufsichtsbehörden den „digitalen Lockdown“ ins Gespräch. Am 2. Oktober haben fünf von ihnen mitgeteilt, dass neun Behörden bei acht Gegenstimmen den Einsatz von Microsoft 365 (ehemals Office 365), also Word, Excel, Powerpoint, das Videokonferenzangebot Teams und den Speicherdienst OneDrive, für rechtswidrig halten.

Eine Arbeitsgruppe, die im engen Austausch mit dem Anbieter steht, hält die Angebote nach monatelanger Prüfung im Dialog mit Microsoft nicht für rechtskonform einsatzfähig. Zumindest in neun Bundesländern steht die Nutzung der verbotenen Software, die faktisch flächendeckend in Behörden, Bildungseinrichtungen und Unternehmen eingesetzt wird, ein Risiko dar. Unternehmen drohen nun Bußgelder. Bedenkt man, dass Apple, Google und viele andere nicht europäische Anbieter nicht besser aufgestellt sein dürften als Microsoft, wird die Dimension noch klarer.

Darf man bald kein Word-Dokument mehr anlegen oder öffnen? Bevor die Datenschutzaufsichtsbehörden die Datenverarbeitung in Deutschland faktisch lahmlegen, müssen sie den Sachverhalt im Einzelfall umfassend ermitteln und eine Untersagung nachvollziehbar begründen. Nur so erfüllen sie als grundrechtsunterworfene Verwaltung die Anforderungen des Verwaltungsverfahrensrechts, dessen Einhaltung Gerichte überprüfen.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    Darauf weisen auch die Behördenchefs aus Baden-Württemberg, Bayern – dort gibt es zwei – Hessen und dem Saarland hin. Sie dokumentieren damit einerseits, dass Deutschlands Datenschutzaufsicht alles andere als einheitlich und damit gegen die Anforderungen des europäischen Datenschutzrechts agiert.

    Gefährliche Angriffe des US-Geheimdienstes?

    Sie dürfte damit der von der Datenethikkommission für diesen Fall ins Gespräch gebrachten Zentralisierung der Aufsicht Vorschub leisten. Andererseits ist es bemerkens- und begrüßenswert, dass fünf der deutschen Behörden ihre Zweifel an der Rechtmäßigkeit der Mehrheitsentscheidung bei allen Bedenken gegen die geprüften Angebote öffentlich äußern, um so Schaden abzuwenden.

    Die Argumente der internen Kritiker sind stichhaltig. Die Gesamtbewertung der Mehrheit sei ohne rechtsstaatlich erforderliche förmliche Anhörung erfolgt, sie sei undifferenziert und beziehe sich auf zwischenzeitlich zweimal nachgebesserte Vertragsbedingungen. Klar scheint, dass Unternehmen und Behörden einen belastenden Bescheid von der Aufsicht in Sachen Office 365 gerichtlich überprüfen lassen werden. Bis die letzte Instanz entschieden hat, entfaltet die Maßnahme der Behörde keine Wirkung, und der digitale Lockdown wäre erst einmal aufgeschoben.

    Dass Behörden auf der aktuellen Tatsachenbasis derart konkrete und gefährliche Angriffe des US-Geheimdienstes über Office-365-Produkte auf Deutschlands Unternehmen und Behörden feststellen können, dass ein Gericht den alternativlosen digitalen Lockdown durch ein Nutzungsverbot von Software per Sofortvollzug akzeptieren, auf die sie ganz nebenbei selber angewiesen sind, ist rechtlich sehr fragwürdig. 

    Gerichte müssen sich in Ruhe mit den Fällen befassen

    Es wäre gut, wenn sich die Gerichte nun in Ruhe mit den Fällen befassen und sie auf rechtlich sicheren Grund stellen würden. Sie sind außerordentlich komplex, und die Fragen der Richter, für die sich die Aufsichtsbehörden – die das Recht anwenden, aber nicht gestalten – bei Überprüfung einer Untersagung wappnen müssen, sind nicht nur inhaltlicher Natur. Sie betreffen schwierige Fragen des Verfahrensrechts, das einen vorschnellen Zugriff der Exekutive auf die Rechte der Unternehmen hemmt.

    Einige Fragen könnten wie folgt lauten: Kann eine Aufsichtsbehörde tatsächlich beurteilen oder gar prüfen, welche Daten erforderlich sind, um einen grundsätzlich zulässig weltweit vernetzten Dienst für Büroanwendungen sicher und rechtskonform zu betreiben?

    Wie ist das konkret erfolgt? Verarbeitet ein europäischer Alternativanbieter Daten nachweislich rechtskonform, und sind bei ihm die Datenabflüsse bis ins Detail nachvollziehbar überprüfbar?

    Kann ein solcher Anbieter für die Sicherheit der Daten ebenso effektiv Gewähr übernehmen wie ein weltweit agierender Digitalkonzern? Unabhängig von seiner Eignung: Was müsste er genau beachten? Ist es nach Abwägung aller Risiken gerechtfertigt, dass der Dienst untersagt wird, weil sensible Daten in die USA gelangen können?

    Wäre es nach einer Gesamtabwägung zwischen Datenschutz und Unternehmens‧freiheit rechtmäßig, dass eine Zugriffsmöglichkeit ohne nachweisbaren Zugriff auf Inhalte von Schulaufsätzen oder belangloser Unternehmens- oder Behördenkommunikation zu einer faktisch alternativlosen Untersagung führt? Und ist am Ende eine Nutzungsuntersagung durch Behörden verhältnismäßig, oder kommen weniger einschneidende Maßnahmen in Betracht?

    Fragt man Microsoft, dann findet ein dauerhafter konstruktiver Austausch mit der Aufsicht statt, und der rechtskonforme Einsatz ist möglich. Die eigentliche Datenverarbeitung in der EU bei Office 365 erfolge nach den Vorgaben des europäischen Datenschutzes, und es gelangten nur technische Informationen wie Metadaten und Anmelde‧informationen zur Ermöglichung des Betriebs des Dienstes in die USA.

    Sie dienten insbesondere dazu, die Systeme weltweit möglichst effektiv vor Angriffen schützen zu können. Kommunikationsinhalte, wie zum Beispiel Chatverläufe, E-Mail-Korrespondenz und Dokumente würden nicht übermittelt. US-Sicherheitsbehörden hätten personenbezogene Daten im Rahmen von Office 365 von europäischen Unternehmen bislang nur im einstelligen Bereich angefordert.

    Die deutschen Aufsichtsbehörden, die nun Konsequenzen aus ihren Ermittlungen ziehen wollen, müssen die Tatsachenlage belastbar einschätzen können. Sie müssen nach der Datenschutz-Grundverordnung über Maßnahmen zur Beseitigung eines Verstoßes nachdenken. Ihnen steht neben einer Verwarnung auch die Anweisung konkreten rechtmäßigem Alternativverhaltens mit einem umsetzbaren Hinweis zur Änderung der Geschäftsprozesse zur Verfügung.

    Bußgeld von bis zu vier Prozent des Jahresumsatzes möglich

    Der wäre rechtlich erforderlich und für die Praxis hilfreich. Obwohl das ein äußerst scharfes Schwert ist, das unkalkulierbare Kollateralschäden verursacht, kann man auch an die aktuell diskutierte Untersagung der Nutzung von Office 365 denken. Sie müsste sich aber konkret rechtlich begründen lassen. Hierbei dürfte es um die Frage gehen, ob feststellbar ist, dass im Einzelfall oder nur generell tatsächlich ein Zugriff durch Sicherheitsbehörden eines unsicheren Drittstaates erfolgt ist.
    Theoretisch könnte die Aufsicht gegenüber Unternehmen auch anstelle einer der genannten Maßnahmen ein Bußgeld in der Höhe von bis zu vier Prozent des Jahresumsatzes verhängen. Wenn alles mit rechten Dingen zugeht, ist das aber nicht zu befürchten. Das dürften die unklare Rechtslage und die völlig uneinheitliche Praxis in Deutschland und Europa rechtlich ausschließen.

    Mehr: Einhörner aus der Glaskugel: Wie KI Milliarden-Start-ups erkennen soll.

    Startseite
    Mehr zu: Gastkommentar - Rolf Schwartmann: Behördenzoff um digitalen Lockdown
    0 Kommentare zu "Gastkommentar: Rolf Schwartmann: Behördenzoff um digitalen Lockdown"

    Das Kommentieren dieses Artikels wurde deaktiviert.

    Zur Startseite
    -0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%